Início / TB Responde / Antivírus e Segurança /

O que é um ataque de força bruta?

Ataques de força bruta são técnicas que podem ser usadas para revelar senhas; entenda o conceito e saiba como se proteger

Emerson Alecrim

Por

TB Responde
Achados do TB Achados do TB

As melhores ofertas,
sem rabo preso 💰

Um ataque de força bruta não é a vontade que você sente de esmurrar o seu computador quando ele trava, mas uma tática criada para descobrir senhas. Um método do tipo também pode ser usado para revelar uma informação sigilosa, como uma chave de criptografia. Como isso funciona? Você vai entender nas próximas linhas.

Um ataque de força bruta consiste em todo e qualquer método usado por um invasor para descobrir uma senha, uma chave criptográfica ou outro tipo de informação sigilosa, por meio de tentativa e erro.
O que é um ataque de força bruta? (imagem: Tecnoblog)

Um ataque de força bruta consiste em todo e qualquer método usado por um invasor para descobrir uma senha, uma chave criptográfica ou outro tipo de informação sigilosa, por meio de tentativa e erro.

Como exemplo, pense em um cofre que exige uma combinação de quatro números como senha. Essa combinação pode ir de 0000 a 9999, portanto. Agora, imagine um ladrão tentando abrir esse cofre. Ele não consegue arrombar a porta, então decide testar todas as combinações possíveis (0000, 0001, 0002, 0003, …) até descobrir aquela que abre o cofre.

Podemos dizer que esse é um tipo ataque de força bruta. Rudimentar, trabalhoso e pouco eficiente, mas não deixa de ser. Se não tiver sorte, o ladrão levará dias ou semanas tentando e errando até encontrar a combinação certa.

Bom, descobrir a senha de um cofre de verdade pode ser um trabalho demorado e cansativo. Mas, quando pensamos em senhas para sistemas, aplicativos e sites, a situação é diferente. Algoritmos podem ser escritos para testar uma quantidade grande de combinações em pouquíssimo tempo. Também há ferramentas desenvolvidas especificamente para isso.

Suponha, por exemplo, que você usa a combinação “a10b20” como senha (essa é uma senha fraca, então, só serve de exemplo, ok?). Um algoritmo pode ser instruído a testar todas as combinações de letras e números possíveis até chegar a “a10b20”.

Alguns truques facilitam esse trabalho. Por exemplo, se um invasor descobrir que um site exige que a senha tenha pelo menos seis caracteres, ele fará o algoritmo iniciar as tentativas com essa quantidade. Com isso, combinações com cinco ou menos caracteres sequer serão tentadas.

Um hacker pode recorrer a vários macetes para “turbinar” as tentativas, como combinar dois ou mais computadores para aumentar o poder de processamento. Outra tática consiste em complementar o trabalho da CPU com uma GPU.

Crie uma senha forte para evitar força bruta (imagem: Vitor Pádua/Tecnoblog)
Crie uma senha forte para evitar força bruta (imagem: Vitor Pádua/Tecnoblog)

Como evitar um ataque de força bruta

Sabe quando você se cadastra em um site que pede que a senha tenha números, letras maiúsculas e minúsculas, e caracteres especiais? Eu também fico aborrecido com isso, mas coibir ataques de força bruta é uma das razões para tantas exigências.

A lógica é simples. Quanto mais caracteres uma senha tiver, mais difícil será a descoberta da combinação por meio de força bruta. Se caracteres de diferentes tipos forem usados, essa proteção aumenta mais.

Então, a dica é esta: crie uma senha forte, com muitos caracteres. Uma maneira de lidar com isso é recorrer a um bom gerenciador de senhas. Além de armazenar as suas combinações, esse tipo de aplicativo te ajuda a criar senha seguras e, com efeito, quase impossíveis de serem descobertas.

Misturar letras maiúsculas e minúsculas, números e caracteres especiais (como @, %, !, entre outros) é realmente importante. Eis um dos motivos: alguns mecanismos de força bruta utilizam um banco de dados de palavras e testam cada uma delas para tentar encontrar a combinação em uso. Por isso, não é uma boa ideia usar como senha uma palavra do dicionário.

Mais uma orientação importante: sempre que possível, ative a autenticação em dois passos. Mesmo que a sua senha seja descoberta de outro jeito (por meio de um vazamento de dados, por exemplo), esse mecanismo pode evitar que a sua conta seja acessada por terceiros.